DFN-CERT-2017-0913 WebKitGTK+: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und einen Cross-Site-Scripting-Angriff [Linux][Fedora]

DFN-CERT-2017-0913 WebKitGTK+: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und einen Cross-Site-Scripting-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WebKitGTK < 2.16.3 Betroffene Plattformen: GNU/Linux Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Zwei Schwachstellen in WebKit ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter Webseiten. Eine weitere Schwachstelle ermöglicht dem Angreifer die Durchführung eines Cross-Site-Scripting-Angriffs. Das WebKitGTK+-Team stellt den GTK+-Port von WebKit in der Version 2.16.3 als Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf diese Version in Form von "webkitgtk4-2.16.3-1"-Paketen im Status 'testing' oder 'stable' bereit. Patch: Fedora Security Update FEDORA-2017-98bc28ae9e (webkitgtk4-2.16.3-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-98bc28ae9e

Patch:

Fedora Security Update FEDORA-2017-9e83b902f9 (webkitgtk4-2.16.3-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e83b902f9

Patch:

Fedora Security Update FEDORA-2017-d39099ea6a (webkitgtk4-2.16.3-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d39099ea6a

Patch:

WebKitGTK+ 2.16.3 Release Notes

https://webkitgtk.org/2017/05/24/webkitgtk2.16.3-released.html

CVE-2017-2510: Schwachstelle in WebKit ermöglicht
Cross-Site-Scripting-Angriff

Bei der Behandlung von ‘Pageshow’-Events in WebKit kann es zu einem
Logikproblem kommen. Ein entfernter, nicht authentisierter Angreifer kann
die Schwachstelle mit Hilfe einer speziell präparierten Webseite für einen
Cross-Site-Scripting-Angriff ausnutzen.

CVE-2017-2496 CVE-2017-2539: Schwachstellen in WebKit ermöglichen Ausführung
beliebigen Programmcodes

Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zu Speicherkorruptionen kommen (Memory Corruptions). Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstellen ausnutzen, um beliebigen
Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0913/

Schwachstelle CVE-2017-2496 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2496

Schwachstelle CVE-2017-2510 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2510

Schwachstelle CVE-2017-2539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2539

Fedora Security Update FEDORA-2017-98bc28ae9e (webkitgtk4-2.16.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-98bc28ae9e

Fedora Security Update FEDORA-2017-9e83b902f9 (webkitgtk4-2.16.3-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e83b902f9

Fedora Security Update FEDORA-2017-d39099ea6a (webkitgtk4-2.16.3-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d39099ea6a

WebKitGTK+ 2.16.3 Release Notes:
https://webkitgtk.org/2017/05/24/webkitgtk2.16.3-released.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben